El primer trimestre de 2022 vio más ataques de ransomware que en todo 2021, según una investigación del proveedor de seguridad cibernética WatchGuard. La firma espera que 2022 sea un año récord para los ataques de ransomware.
El ransomware ha crecido constantemente en importancia e impacto desde el ataque WannaCry hace cinco años, y la copia de seguridad no es menos importante como medio de recuperación, a pesar de los cambios en las técnicas de los atacantes.
Porque, si bien los grupos delictivos recurren a técnicas cada vez más avanzadas, incluidos los ataques de doble y triple extorsión, los fundamentos del ransomware siguen siendo importantes. Los atacantes se infiltran en una red, encuentran y cifran datos y exigen un pago (generalmente en criptomonedas) a cambio de una clave de descifrado.
Nada de esto es noticia, ni es noticia que pagar un rescate no sea garantía de poder recuperar los datos.
Hay muchas investigaciones que sugieren que los grupos de ransomware a menudo no entregan una clave de descifrado o, si lo hacen, la clave no funciona. La investigación de Venafi, otro proveedor de seguridad cibernética, sugiere que esto sucede en el 35% de los casos.
Luego está el tiempo, la inconveniencia y el costo involucrados en la recuperación de datos cifrados. Esto puede llevar días, o incluso semanas. Comprensiblemente, los directores de información (CIO) y los directores de seguridad de la información (CISO) pueden sentir que vale la pena hacerlo solos e intentar recuperar datos de sus propias copias de seguridad.
En última instancia, esta puede ser la estrategia más efectiva. Tiene la ventaja de no poner dinero en manos de bandas criminales y posiblemente incurrir en sanciones por hacerlo. Aunque actualmente no es ilegal pagar un rescate en el Reino Unido, el NCSC y la Oficina del Comisionado de Información (ICO) pidieron recientemente a las empresas que no paguen rescates. Esto es mucho más fácil para las empresas que tienen copias de seguridad sólidas y confiables.
Restaurar desde copias de seguridad: conceptos básicos
Las empresas pueden tomar una variedad de pasos para reducir el riesgo de un ataque de ransomware, desde herramientas técnicas de seguridad, parches regulares y actualizaciones del sistema operativo hasta la educación del usuario.
Si un atacante obtiene acceso a la red y puede cifrar archivos, la única opción, aparte de pagar el rescate, es restaurar los datos de las copias de seguridad. Pero las copias de seguridad deben “reforzarse” contra los ataques de ransomware.
Las opciones incluyen la restauración desde medios externos, incluidas unidades ópticas o de cinta, o desde instantáneas. Las instantáneas contienen más información que solo los datos, pero incluyen metadatos, copias principales e incluso archivos eliminados. Estas instantáneas ahora se denominan a menudo “inmutables”, ya que una vez copiadas no se pueden cambiar.
Y los proveedores de herramientas de seguridad de respaldo han agregado medidas para evitar que se borren las instantáneas, por ejemplo, al requerir autenticación de múltiples factores para mover o eliminar los datos. Esto brinda protección adicional contra el malware que intenta eliminar o corromper los archivos de copia de seguridad.
Si es posible, las copias de seguridad deben estar aisladas, ya sea separadas físicamente de los sistemas de producción o separadas lógicamente por la herramienta de copia de seguridad y recuperación. Idealmente, las empresas deberían utilizar ambas estrategias.
Las organizaciones también deben considerar la posibilidad de realizar copias de seguridad en la nube, para proporcionar una separación lógica y física. Más herramientas de copia de seguridad y recuperación ahora admiten el almacenamiento de copias de seguridad inmutables en la nube. Los CIO deben ser conscientes de los costos de almacenamiento y salida de datos, aunque la nube aún puede ser más rentable que construir un extenso hardware de respaldo en las instalaciones.
RPO, RTO y ransomware
Cualquier plan de recuperación ante desastres establecerá el objetivo de tiempo de recuperación (RTO) de la organización, o la rapidez con la que se deben restaurar los datos, y el objetivo del punto de recuperación (RPO), o hasta dónde debe llegar la restauración para encontrar una copia limpia y viable de sus datos
En la planificación convencional de recuperación ante desastres, el RTO debe ser lo más corto posible para minimizar las pérdidas de ingresos y el RPO lo más reciente posible para reducir la necesidad de reconstruir los datos perdidos. Una recuperación más rápida significa copias de seguridad más frecuentes y mayores costos de almacenamiento.
Sin embargo, el ransomware complica las cosas porque los atacantes suelen esperar semanas o meses después de haber penetrado en las redes antes de implementar el malware. El desafío que esto presenta es saber qué tan atrás tendrá que ir para encontrar una copia limpia de los datos. En términos prácticos, la protección contra ransomware significa mantener más copias de datos durante más tiempo y garantizar que esas copias estén protegidas.
Ventana de recuperación
Las empresas también deben considerar la ventana de recuperación: cuánto tiempo llevará recuperar y verificar las copias de seguridad, especialmente las copias fuera del sitio, y luego comenzar el proceso de restauración.
Los sistemas de respaldo no están diseñados para recuperar grandes volúmenes de datos rápidamente, razón por la cual las organizaciones tienen un conjunto más amplio de herramientas de recuperación ante desastres, que incluyen instantáneas y sistemas duplicados. Pero estos pueden ser tan vulnerables a los ataques de ransomware como las copias de producción.
La opción de recuperar datos en instancias de la nube en lugar de en las instalaciones ayuda, pero los CIO deberán priorizar los sistemas operativos clave para la recuperación. Esto debe ser parte del plan de recuperación y debe probarse con anticipación.
“El punto clave de falla en la protección de datos por lo general no es la copia de seguridad, es la recuperación”, dice Bryan Betts, de la firma de analistas Freeform Dynamics.
Advierte que la creciente complejidad de los sistemas de TI, incluidas las cargas de trabajo en la nube, híbridas y en contenedores, dificulta que los sistemas vuelvan a estar en línea.
Una vez más, las instantáneas ayudarán, pero los planificadores de recuperación ante desastres deben pensar en términos de sistemas comerciales y procesos comerciales prioritarios en lugar de volúmenes de almacenamiento. Un solo RPO y RTO pueden no ser suficientes, y es probable que las empresas necesiten objetivos diferentes para la recuperación de ransomware que para una simple interrupción técnica.
Riesgos de copia de seguridad y recuperación
La recuperación de datos después de un ataque de ransomware es más compleja y más riesgosa que la recuperación de una interrupción del sistema o un desastre natural.
El mayor riesgo es que las copias de seguridad contengan ransomware no detectado, que luego se replique en el sistema de producción o en los sistemas recuperados.
Este riesgo se reduce mediante el uso de copias con espacios vacíos y copias e instantáneas inmutables, y manteniendo más copias de las que se requerirían solo para la copia de seguridad convencional. Esto requiere un enfoque más cauteloso para la recuperación de datos, y uno que puede estar en desacuerdo con las presiones comerciales para RTO cortos y RPO recientes.
Las cosas se complican más porque no existen sistemas viables e infalibles que puedan escanear los datos en busca de ransomware antes de realizar una copia de seguridad, dice Barnaby Mote, director general del especialista en copias de seguridad Databarracks.
“Antes de que existiera el ransomware, la replicación de datos de los sistemas de producción a DR lo más rápido posible era una buena estrategia de recuperación para los desastres convencionales”, dice. “Ahora, con el ransomware, tiene el efecto opuesto al deseado, inutilizando los sistemas de recuperación”.
Hay algunas técnicas que los equipos de TI pueden emplear antes de recuperar archivos, como la supervisión de archivos, que analiza si la copia de seguridad cifrada tiene las mismas características, como el tamaño, que los archivos originales. Sin embargo, la detección de tales anomalías sigue siendo en gran medida un proceso manual o personalizado que depende de la habilidad de los equipos de recuperación y seguridad de TI.
La recuperación de datos inicialmente en entornos aislados y la ejecución de verificaciones adicionales proporcionará cierta seguridad. Pero todas estas medidas toman tiempo y agregan al menos un paso más al proceso de recuperación.
Y, como señala Christian Borst, director de tecnología de campo de la empresa de respuesta y detección de amenazas Vectra, recuperarse de un ataque de ransomware es más que recuperar datos. Las empresas necesitan reconstruir el estado operativo de sus sistemas y asegurarse de que los datos estén limpios.
“La creación de copias de seguridad de la configuración del sistema y la aplicación, además de los datos operativos, es esencial”, dice. “El aspecto más importante en este sentido es garantizar la integridad y disponibilidad de estas copias de seguridad”.
Una buena estrategia de protección de datos no es fácil ni barata, pero ayudará a las empresas a reducir el tiempo de inactividad causado por un ataque de ransomware y podría, con una buena preparación e incluso un poco de suerte, evitar la necesidad de pagar un rescate.
